| |||
![]() Hola a todos, estoy acostumbrandome recien en la programacion con register_globals en off y quisiera saber como pasar variables por la url sin que se vean, es decir siempre cuando recoja la variable en otra pagina tengo que poner $_GET['variable'], tambien podria poner $_POST['variable']??? si es posible como puedo poner el link para k no se vea lo k envio????, es seguro k se vea la informacion k mando??? o alguien malintencionado puede sobreescribir la url y pasar otros valores de las variables?? |
| |||
El $_GEt recoge la variable de la url y el $_POST las recoge de aquellas que han sido enviadas por formularios. Una forma de que no se vean la variables por la url es usando htacces haciendo uso del modrewrite que te permite trasnformar las urls. De todos modos yo diria que lo "no seguro" es el modo en que recoges las variables y no el echo de que estas esten en la url. Saludos |
| |||
En un formulario HTML puedes definir: method="GET" Es decir .. no es que por el hecho de usar un fomulario se propaguen sus datos en POST sino que es la "constumbre" usarlo así .. pero no la obligación. Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
| |||
![]() Código PHP: Saludos, Francisco |
| |||
Así no puedes .. tu generas links .. ademas que será interesante para el Usuario de tu sistema poder manejar un link directo a esa información. Por qué quieres ocultarlo? Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
| |||
Que no es seguro? ... Qué? Si tu validas el dato que por el URL se pide a un script PHP (como asì màs o menos lo haces) no tendràs que tener problemas .. Una "adulteraciòn" del URL sòlo originará un error "controlado" de tu aplicaciòn .. nada màs. Imagina que yo tengo que dar un link directo a un dato gestionado por tu aplicaciòn (con su categoría e ID respectivo) .. si tu me lo "ocultas" .. ya no puedo hacer eso como usuario y .. muchassssss veces es necesario. Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
| |||
WOW entonces el tema no va por seguridad sino por validar el dato que se pasa por la URL, te comentaba que no es seguro por k hay veces que se puede adulterar los valores de las variables al pasarlos via URL, claro que si hay una validación la cosa cambia. Entonces hay algo k no me keda claro, sorry por la ignorancia en el tema de trabajar con register_globals en off y es que siempre trabaje en On, pero por ejemplo tengo este codigo: Código PHP: Saludos |
| |||
Cita: Si, eso es cierto .. todo dato que pueda "entrar" a un script tuyo ha de ser validado y desconfiar de el totalmente. Por eso no se trata de "ocultarlo" sino "validarlo" por què tú (tu aplicaciòn) sabe que dato esperar: si espero un número .. no me aceptes "caracteres" .. si hay un rango .. validalo .. si se trata de un registro X de una BBDD .. valida que exista antes de hacer nada .. etc.WOW entonces el tema no va por seguridad sino por validar el dato que se pasa por la URL, te comentaba que no es seguro por k hay veces que se puede adulterar los valores de las variables al pasarlos via URL, claro que si hay una validación la cosa cambia. Cita: Realmente el uso o concepto de "register globals" no es el problema de "validaciòn" .. El uso de "register_globals" sòlo te presta una seguridad extra en el aspecto que -obliga- a tomar los valores de las variables que puedan llegar a tu script en forma externa (que no genera este) por su array superglobal asociado:Entonces hay algo k no me keda claro, sorry por la ignorancia en el tema de trabajar con register_globals en off y es que siempre trabaje en On, pero por ejemplo tengo este codigo: $_GET -> Links, redireccionamientos por el URL (javascirpt, HTML . etc) $_POST -> Formularios HTML en method=POST (por què puede ser tambièn GET). Cita: Si, .. eso nos sucede siempre .. por eso se trata de "validar" ese dato. En otras ocasiones tambièn te interesa que el dato se origine en tu script1.php y no en otro .. para ese tipo de casos es más seguro usar sesiones:Ahora lo inseguro de este codigo es k si pongo en la barra de direcciones esto, por ejemplo http://www.pagina2.php?nuevo=valoradulterado , lo que muestra en la pagina2.php es valoradulterado y ya no valororiginal, entonces algo similar pienso k puede pasar con mi link. En script1.php registras tu variable de sesiòn -> redireccionas sin màs variables en el URL que indicar y en script2.php tomas tus variables de sesión. Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |